自《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》正式出臺，越來越多企業(yè)在數(shù)據(jù)收集、數(shù)據(jù)傳輸?shù)拳h(huán)節(jié)產(chǎn)生法律合規(guī)需求。其中人力資源部門往往需要處理大量的個(gè)人信息（含敏感個(gè)人信息）。尤其在近年來數(shù)字化招聘已經(jīng)成為企業(yè)招聘的主流場景，雇主企業(yè)、招聘平臺、獵頭以及第三方供應(yīng)商要如何迎接《個(gè)人信息保護(hù)法》以及配套法律法規(guī)帶來的全新挑戰(zhàn)成為實(shí)踐中廣泛關(guān)注的問題。對此，大成北京辦公室高級合伙人鄧志松律師在日前的直播活動(dòng)中，針對在華跨國企業(yè)的數(shù)字化招聘環(huán)節(jié)，分析了相關(guān)法律監(jiān)管風(fēng)險(xiǎn)，并給出了相應(yīng)實(shí)務(wù)建議。以下為鄧律師直播內(nèi)容的分享整理。

人力資源管理不僅是企業(yè)管理體系的核心功能，也是獲得持續(xù)競爭力的關(guān)鍵所在。在數(shù)字技術(shù)高速發(fā)展和個(gè)人信息保護(hù)體系不斷完善的背景下，很多企業(yè)都將人力資源管理數(shù)字化轉(zhuǎn)型提升到新的高度，但伴隨而來的還有諸多亟待解決的挑戰(zhàn)和困境。

第一，數(shù)據(jù)安全保護(hù)體系日趨完善給數(shù)字化招聘奠定合規(guī)標(biāo)準(zhǔn)。隨著大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，數(shù)據(jù)已經(jīng)成為重要的生產(chǎn)要素，在經(jīng)濟(jì)社會各領(lǐng)域發(fā)揮著越來越重要的作用。數(shù)據(jù)流通目前已經(jīng)從最初的數(shù)據(jù)包為主的1.0時(shí)代，跨過以API接口方式交互數(shù)據(jù)的2.0時(shí)代，進(jìn)入基于安全合規(guī)和隱私計(jì)算基礎(chǔ)之上的3.0時(shí)代。數(shù)據(jù)安全治理也逐漸被提升到國家安全治理的戰(zhàn)略高度，國家、地方省市、各行業(yè)監(jiān)管部門不斷出臺相關(guān)法律法規(guī)。目前，我國已經(jīng)形成《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律構(gòu)建的個(gè)人信息保護(hù)和數(shù)據(jù)安全基本法律框架，其他配套的法律法規(guī)也在陸續(xù)出臺中。

第二，《個(gè)人信息保護(hù)法》給數(shù)字化招聘的復(fù)雜應(yīng)用場景帶來合規(guī)風(fēng)險(xiǎn)。《個(gè)人信息保護(hù)法》的頒布實(shí)施為人力資源管理過程中個(gè)人信息收集、處理等活動(dòng)提供了實(shí)踐規(guī)范和法律依據(jù)，但同時(shí)也帶來了企業(yè)合規(guī)風(fēng)險(xiǎn)。其中在疫情期間迅速發(fā)展的數(shù)字化招聘便涉及從職位發(fā)布、簡歷收集到面試甄選、入職管理等多重個(gè)人信息應(yīng)用場景，鄧律師將復(fù)雜的場景整理為收集、使用、存儲、出境四個(gè)環(huán)節(jié)，并指出了其中的合規(guī)風(fēng)險(xiǎn)：

第三，跨境管理中的多法域沖突給數(shù)字化招聘提出調(diào)和性合規(guī)要求。企業(yè)跨境管理涉及國家之間、國家與地區(qū)之間、國際組織之間、個(gè)人之間等相互合作，共同處理跨境事務(wù)，其中不同法律法規(guī)體系間的沖突難以避免。鄧律師以歐盟為例，講解了跨國企業(yè)的人力資源管理部門或平臺，不論是在境內(nèi)收集信息往境外傳輸，還是從境外向境內(nèi)輸送信息，都必須滿足各法域所要求的《個(gè)人信息保護(hù)法》、《通用數(shù)據(jù)保護(hù)條例》等數(shù)據(jù)跨境傳輸協(xié)議及隱私政策。因此，鄧律師強(qiáng)調(diào)如何調(diào)和不同法律體系之間的關(guān)系，使之能夠順利運(yùn)作并達(dá)到共同利益最大化，是企業(yè)處理跨境事務(wù)需要重視的問題。

在環(huán)顧人力資源管理面臨的新挑戰(zhàn)后，鄧律師基于法律專業(yè)知識和實(shí)務(wù)經(jīng)驗(yàn)，特別聚焦于企業(yè)數(shù)字化招聘中的法律監(jiān)管風(fēng)險(xiǎn)給出了提示。

第一，企業(yè)進(jìn)行合規(guī)操作應(yīng)分清規(guī)定的法律主體。《個(gè)人信息保護(hù)法》中包含個(gè)人信息主體、個(gè)人信息處理者、個(gè)人信息受托方三類法律主體，正確區(qū)分法律主體對于企業(yè)合規(guī)操作，有重大的意義和影響。個(gè)人信息主體，是行使一系列權(quán)利的主體，角色較為明確。至于如何判斷一個(gè)主體屬于處理者還是受托方，鄧律師表示主要依據(jù)其能否自主決定收集信息的目的范圍和存儲期限。具體到招聘環(huán)節(jié)，提供獨(dú)立求職招聘平臺服務(wù)的APP通常屬于數(shù)據(jù)的處理者，而軟件和系統(tǒng)服務(wù)的供應(yīng)商通常屬于受托方。而不同法律主體決定了其負(fù)有個(gè)人信息保護(hù)法律責(zé)任的不同。

第二，企業(yè)處理個(gè)人信息應(yīng)滿足合法性基礎(chǔ)要求，并具備數(shù)據(jù)安全能力。在招聘場景中處理個(gè)人信息，主要涉及兩項(xiàng)合法性基礎(chǔ)：

• 基于個(gè)人同意處理個(gè)人信息：這是招聘場景下最常見的合法性基礎(chǔ)。該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。
• 依照個(gè)保法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息：此種情形對應(yīng)自動(dòng)爬取應(yīng)聘者在網(wǎng)站上發(fā)布的簡歷信息場景。但是，該項(xiàng)合法性基礎(chǔ)存在例外，當(dāng)個(gè)人明確拒絕企業(yè)對其公開信息進(jìn)行處理時(shí)，此類合法性基礎(chǔ)不復(fù)存在。此外，處理已公開的個(gè)人信息，對個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)取得個(gè)人同意。

《個(gè)保法》還對雇主、招聘平臺、獵頭以及第三方供應(yīng)商數(shù)據(jù)安全能力提出了要求：企業(yè)應(yīng)在內(nèi)部制定管理制度和操作規(guī)程，對個(gè)人信息實(shí)行分類管理；在信息處理環(huán)節(jié)采取加密、去標(biāo)識化等安全技術(shù)措施，合理確定處理的操作權(quán)限；并提前制定、組織個(gè)人信息安全事件應(yīng)急預(yù)案，定期開展安全教育和培訓(xùn)。

第三，當(dāng)企業(yè)或個(gè)人觸犯法律法規(guī)時(shí)應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。在這個(gè)部分，鄧律師詳細(xì)解讀了觸犯相關(guān)法律將會面臨的刑事、行政以及民事方面法律責(zé)任。如侵犯公民個(gè)人信息，情節(jié)嚴(yán)重者，最高會被判處七年有期徒刑；行政處罰包含暫停營業(yè)或吊銷營業(yè)執(zhí)照等，如果個(gè)人負(fù)有責(zé)任也會在一定期限內(nèi)被禁止擔(dān)任企業(yè)管理層職位；民事責(zé)任方面除面對個(gè)人信息主體索賠外，可能還會面臨人民檢察院、相關(guān)組織提起的公益訴訟。

第四，企業(yè)應(yīng)注意數(shù)據(jù)存儲地選擇帶來的數(shù)據(jù)出境合規(guī)問題。鄧律師指出不同的數(shù)據(jù)存儲地也會有不同的法律監(jiān)管政策，不同數(shù)據(jù)存儲地選擇也會影響企業(yè)數(shù)據(jù)出境合規(guī)義務(wù)。如果數(shù)據(jù)存儲地為母國，合規(guī)重點(diǎn)則會聚焦于本地法律法規(guī)，在需要出境的場景下才會涉及出境合規(guī)；如果數(shù)據(jù)存儲地為東道國，由于數(shù)據(jù)出境活動(dòng)的頻繁，企業(yè)需要同時(shí)重視本地合規(guī)和出境合規(guī)。并且，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者在《個(gè)保法》下面臨數(shù)據(jù)本地化的要求，不可選擇東道國為數(shù)據(jù)存儲地。

隨著《數(shù)據(jù)出境安全評估辦法》《個(gè)人信息保護(hù)認(rèn)證實(shí)施規(guī)則》《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》相繼發(fā)布實(shí)施，《個(gè)保法》中所述的個(gè)人信息跨境傳輸合規(guī)的三條主要路徑規(guī)則已大致清晰。

路徑一，通過國家網(wǎng)信部門組織的安全評估。《數(shù)據(jù)出境安全評估辦法》正式稿的出臺，標(biāo)志著歷經(jīng)三次征求意見后，數(shù)據(jù)出境安全評估的要求終于得以明確。同時(shí)，該辦法將個(gè)人信息與重要數(shù)據(jù)的出境規(guī)則合并規(guī)定，也標(biāo)志著2017年以來一度分立的個(gè)人信息和重要數(shù)據(jù)出境規(guī)則回歸統(tǒng)一監(jiān)管。根據(jù)該辦法第四條，下述特定數(shù)據(jù)出境主體或活動(dòng)，應(yīng)當(dāng)采用向企業(yè)所在地省級網(wǎng)信部門申報(bào)安全評估：

• 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（“CIIOs”）
• 處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者
• 自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或1萬人敏感個(gè)人信息的數(shù)據(jù)處理者
• 國家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評估的情形

路徑二，按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證。認(rèn)證認(rèn)可制度是一種國內(nèi)外通用的第三方評價(jià)制度，一般情況下，是由具有專業(yè)能力的第三方機(jī)構(gòu)，以一定的標(biāo)準(zhǔn)和技術(shù)規(guī)范為依據(jù)，對產(chǎn)品、服務(wù)或者企業(yè)的管理體系、人員能力進(jìn)行評價(jià)，社會可根據(jù)評價(jià)結(jié)果對企業(yè)進(jìn)行評判。根據(jù)最新指南，認(rèn)證的適用不再限于關(guān)聯(lián)公司之間的個(gè)人信息跨境處理活動(dòng)，而是與標(biāo)準(zhǔn)合同的適用范圍保持了一致。

路徑三，按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)。簽訂標(biāo)準(zhǔn)合同這一路徑與數(shù)據(jù)出境安全評估互為補(bǔ)集，前者的條件上限與后者的條件下限能夠完整對應(yīng)。新出臺的《個(gè)人信息出境標(biāo)準(zhǔn)合同辦法》將于2023年6月1日生效，標(biāo)準(zhǔn)合同預(yù)期會成為實(shí)踐中最受歡迎、應(yīng)用最廣的個(gè)人信息出境路徑。

《個(gè)保法》與《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》一起，共同構(gòu)成我國企業(yè)應(yīng)遵循的個(gè)人信息保護(hù)和數(shù)據(jù)安全合規(guī)義務(wù)基礎(chǔ)體系，相關(guān)嚴(yán)密的監(jiān)督監(jiān)管流程也已形成。跨國運(yùn)營企業(yè)應(yīng)盡快針對最新的法律法規(guī)調(diào)整自身業(yè)務(wù)、產(chǎn)品，并將視野放遠(yuǎn)至整個(gè)合規(guī)體系層面。對此，鄧律師也給出以下實(shí)務(wù)建議：

第一，平衡監(jiān)管風(fēng)險(xiǎn)與商業(yè)運(yùn)營需求。在對多司法轄區(qū)個(gè)人信息保護(hù)合規(guī)要求進(jìn)行分析、理解的基礎(chǔ)上，結(jié)合自身行業(yè)數(shù)據(jù)類型、商業(yè)運(yùn)營需求與相應(yīng)人才招聘需求，合理評估合規(guī)成本與公司收益，并設(shè)計(jì)相應(yīng)的合規(guī)架構(gòu)。

第二，有效、系統(tǒng)管控國內(nèi)外法律風(fēng)險(xiǎn)。針對特定人才招聘需求，尋求專業(yè)法律咨詢，分析企業(yè)目前面臨的法律風(fēng)險(xiǎn)敞口，并通過合規(guī)工作最小化相關(guān)個(gè)人信息保護(hù)法律風(fēng)險(xiǎn)。

第三，完善委托協(xié)議與企業(yè)合規(guī)體系。審查企業(yè)與第三方合作協(xié)議中關(guān)于應(yīng)聘者個(gè)人信息保護(hù)的條款，根據(jù)《個(gè)保法》要求進(jìn)行完善。同時(shí)從制度和日常運(yùn)營層面健全企業(yè)個(gè)人信息保護(hù)合規(guī)體系。

Moka作為HR SaaS 服務(wù)供應(yīng)商始終堅(jiān)持以國家信息安全法律、法規(guī)、標(biāo)準(zhǔn)、規(guī)范為根本依據(jù)開展公司信息安全合規(guī)工作，并定期對Moka信息安全管理制度的全面性、適用性和有效性進(jìn)行論證和審定，不斷更進(jìn)和修訂相關(guān)細(xì)則。Moka 的產(chǎn)品安全團(tuán)隊(duì)和數(shù)據(jù)安全團(tuán)隊(duì)也將持續(xù)為企業(yè)客戶打造穩(wěn)定、安全、高效的人力資源管理系統(tǒng)云服務(wù)，為客戶提供全方位的數(shù)據(jù)安全和用戶隱私防護(hù)。